CGV SaaS : les clauses indispensables pour un logiciel en ligne

CGV SaaS : les clauses indispensables pour un logiciel en ligne

Vos Conditions Générales de Vente (CGV) structurent la relation commerciale de votre logiciel en ligne. En 2026, elles doivent concilier droit français (Code de commerce), confiance client (SLA, sécurité), conformité RGPD et nouvelles exigences de portabilité/réversibilité issues du Data Act. Ce guide opérationnel liste les clauses incontournables, avec points de vigilance concrets.

Pour un accompagnement sur-mesure, vous pouvez parler de vos contrats avec un avocat ou découvrir nos offres juridiques. Vous pouvez aussi consulter nos articles sur les contrats et CGV.

1) Objet et périmètre du service

Décrivez précisément ce que le client achète. C’est la première source de litige… et la première protection du fournisseur.

• Fonctionnalités livrées (modules, intégrations, API disponibles), environnement technique (navigateur supporté, versions), limitations (nombre d’utilisateurs, stockage, débit API), pré-requis (SSO, navigateur, réseau).
• Exclusions claires: connexions Internet, périphériques et services tiers (messagerie, ERP), contenu fourni par le client.
• Évolutions: possibilité d’améliorer/modifier les fonctionnalités sans dénaturation de l’essentiel; procédure d’information.

La communication des CGV et de leurs éléments essentiels reste une obligation en B2B (information précontractuelle et conditions de règlement). Voir Service-Public Pro – CGV et le Code de commerce (notamment art. L441-1 et L441-10 sur les obligations d’information et les délais de paiement).

Formulation pratico-pratique

• « Le Service inclut A, B, C. Sont exclus X (accès Internet), Y (maintenance des systèmes clients), Z (données fournies par des tiers). Limites: U utilisateurs nominatifs, S Go de stockage, Q appels API/jour. »

2) Comptes, droits d’utilisation et usages prohibés

• Licence d’utilisation non exclusive, non transférable; périmètre (entité juridique, filiales, territoire).
• Gestion des accès (comptes nominatifs, sécurité des identifiants, MFA recommandé) et fair use (éviter l’abus de ressources partagées).
• Usages interdits (tentatives d’intrusion, scraping massif hors API, rétro‑ingénierie, contenu illicite).

3) Disponibilité, SLA et support

• Uptime contractuel (ex. 99,9 %), fenêtres de maintenance, RTO/RPO cibles, priorités d’incidents, canaux/horaire de support.
• Crédits SLA (avoirs) et exclusions (force majeure, Internet, fautes du client, services tiers). Voir bonnes pratiques évoquées par des guides professionnels comme LegalPlace.

Clause type (structure)

• « Disponibilité mensuelle: 99,9 %. Maintenance programmée: samedi 22:00–02:00 CET (préavis 72 h). En cas de disponibilité < cible, crédit de X % des frais mensuels. Sont exclus: (i) Internet, (ii) services tiers, (iii) fautes d’utilisation. »

4) Données personnelles et RGPD (DPA)

Le RGPD impose un contrat écrit de sous‑traitance (art. 28) lorsque vous traitez des données personnelles pour le compte du client. Précisez objet, durée, finalités, catégories de données et de personnes, mesures de sécurité, audit, sous‑traitants ultérieurs, transferts hors UE, notification des violations. Voir CNIL et le texte du RGPD sur EUR‑Lex.

• Rôles: le client est responsable de traitement, le fournisseur SaaS est sous‑traitant (ou coresponsable selon cas d’usage).
• Mesures techniques: chiffrement au repos/en transit, journalisation, cloisonnement logique, sauvegardes, PCA/PRA.
• Sous‑traitants ultérieurs: liste, notification de changements, droit d’opposition raisonnable.
• Transferts hors UE: mécanismes (clauses types) et information des clients.

5) Sécurité de l’information

• Engagement de moyens renforcés (standards type ISO 27001 en inspiration) sans promettre l’infaillibilité.
• Gestion des vulnérabilités (SLA de remédiation), tests (pentest périodiques), journaux (durée de rétention), notification d’incident dans un délai défini.
• Plan de continuité et sauvegardes testées.

6) Réversibilité, portabilité et Data Act

La réversibilité n’est plus optionnelle. Le Data Act (UE) 2023/2854 impose des règles d’accès/portabilité des données et de changement de fournisseur cloud (réduction graduelle des frais de sortie et exigences de migration), applicables progressivement à partir de 2025–2026.

• Export: formats ouverts documentés (CSV, JSON, Parquet), périmètre (données, métadonnées, journaux nécessaires), délais d’extraction.
• Assistance à la migration: niveaux d’aide, limites, facturation raisonnable.
• Suppression/Anonymisation en fin de contrat après restitution (délais, preuves d’effacement).

Points d’attention Data Act

• Éviter toute clause verrouillant indûment la sortie; documenter des interfaces et procédures de transfert réalistes; prévoir la trajectoire de réduction des frais de sortie conformément au règlement.

7) Prix, facturation et indexation

• Structure tarifaire (par utilisateur, usage, édition), options, minima, indexation (indice INSEE, plafond).
• Facturation et délais de paiement conformes au Code de commerce (art. L441‑10) et pénalités/indemnité forfaitaire.
• Facturation électronique B2B: anticipez la réforme et ses échéances à partir de 2026. Voir economie.gouv.fr pour le calendrier et Service‑Public Pro pour les modalités pratiques.

Clause de révision de prix

• « Le Fournisseur peut ajuster les tarifs avec un préavis écrit de 30 jours. En cas de hausse > X %, le Client peut résilier à effet de la fin de la période en cours sous 15 jours. »

8) Durée, renouvellement et résiliation

• Abonnement: mensuel/annuel, tacite reconduction, modalités de non‑reconduction.
• Résiliation pour manquement (préavis de remédiation), résiliation pour convenance (si offerte), effets (accès en lecture seule, réversibilité, suppression).

9) Propriété intellectuelle et contenus

• Logiciel et marques: droits réservés du fournisseur; aucune cession hors stipulation expresse. Voir les rappels de l’INPI sur la protection des logiciels et actifs immatériels.
• Données/Contenus Client: propriété du client; licence limitée au fournisseur pour l’exécution (hébergement, sauvegarde, support).
• Retours et suggestions: autorisation d’usage libre de feedback non confidentiel.

10) Responsabilité, garanties et force majeure

• Limitation de responsabilité: plafonds (ex. 12 mois de frais), exclusion des dommages indirects (perte de chiffre d’affaires, données non sauvegardées), sauf faute lourde/dolosive et atteinte à la vie privée selon la loi applicable.
• Garanties limitées (conformité substantielle, service « en l’état » hors périmètre).
• Force majeure (événements extérieurs, imprévisibles et irrésistibles, cf. Code civil, art. 1218), et décharge pour pannes Internet.

11) Conformité B2C (si utilisateurs consommateurs)

• Information précontractuelle claire, droit de rétractation et exceptions pour les contenus/services numériques lorsque l’exécution a débuté avec accord exprès.
• Médiation de la consommation: coordonnées d’un médiateur en cas de litige. Voir economie.gouv.fr et justice.fr (médiation) pour les principes applicables.

12) Opposabilité et preuve d’acceptation

• Acceptation expresse (case à cocher non précochée, signature électronique), horodatage, preuve d’archivage.
• Mises à jour: procédure d’information/préavis; droit de résiliation si modification substantielle défavorable.

13) Clauses juridiques transverses

• Droit applicable et juridiction (B2B: clause attributive valable; B2C: protections impératives du consommateur).
• Clause de sous‑traitance et de cession de contrat (contrôle préalable raisonnable).
• Confidentialité, références commerciales (avec droit d’opposition), notification (email, portail, recommandé).

Checklist express (à adapter)

• Objet/périmètre défini, limitations et exclusions explicites.
• SLA documenté (uptime, support, crédits), maintenance et décharges Internet.
• DPA RGPD complet (art. 28), sécurité, sous‑traitants et transferts.
• Réversibilité/portabilité: formats, délais, assistance (+ conformité Data Act).
• Prix, facturation électronique (échéances 2026), pénalités L441‑10.
• Durée, renouvellement, résiliation et effets (lecture seule, purge).
• PI et contenus client; responsabilité plafonnée; force majeure.
• Acceptation/archivage des CGV; procédure de mise à jour.

Feuille de route 2026 (Data Act + e‑invoicing)

1. Cartographier les données traitées et les flux (qui? où? combien de temps?).
2. Mettre à jour DPA et annexes sécurité (journaux, sauvegardes, remédiation).
3. Designer la réversibilité: exports, API, playbooks de migration, frais conformes au Data Act.
4. Réviser prix/facturation et anticiper la facturation électronique (processus, formats, plateformes).
5. Revue juridique de responsabilité/force majeure et conformité B2C si concerné.

En B2B, l’absence de clauses RGPD ou de portabilité peut exposer à des sanctions administratives (CNIL jusqu’à 4 % du CA mondial) et à une non‑conformité concurrentielle sous Data Act. Voir CNIL et EUR‑Lex.

Pour aller plus loin

Consultez nos guides connexes : CGU vs CGV : differences et obligations, Contrat de prestation de services : modele et RGPD et IA : obligations legales.

FAQ

Les CGV suffisent‑elles pour le RGPD ?

Non. Les CGV doivent renvoyer à un contrat de sous‑traitance RGPD (art. 28), souvent en annexe (DPA) décrivant finalités, mesures et sous‑traitants. Voir CNIL et RGPD.

Que prévoir pour la réversibilité ?

Un périmètre d’export clair, des formats ouverts, des délais, une assistance définie et des frais raisonnables en ligne avec le Data Act.

Comment encadrer l’uptime sans risque excessif ?

Fixez une cible réaliste, prévoyez des avoirs plutôt que des dommages, et listez les exclusions (Internet, tiers). Voir exemples chez LegalPlace ou Captain Contrat.

Faut‑il une médiation dans les CGV B2C ?

Oui, fournissez les coordonnées d’un médiateur de la consommation et la procédure. Voir justice.fr.

Besoin d’une relecture experte ? Parlez de vos contrats avec un avocat ou découvrez nos offres juridiques.

Pour aller plus loin : guides pratiques Service‑Public Pro (CGV), Legifrance, economie.gouv.fr, EUR‑Lex, CNIL, INPI, ainsi que des synthèses LegalPlace et Captain Contrat.